Podczas tegorocznej konferencji Mobilna Bankowość 2022, która odbyła się 30.03.2022 w Poznań Congress Center, mogliśmy wysłuchać wiele interesujących prezentacji na temat najnowszych zabezpieczeń i rozwiązań bankowych. Naszą uwagę przykuła prelekcja Rady Bezpieczeństwa Bankowości Internetowej i Mobilnej.
RBBIiM to ciało doradcze, którego jednym z celów działania jest opracowywanie standardów w zakresie zapobiegania i ograniczania negatywnych skutków dla instytucji bankowych i ich klientów. Rada zajmuje się publikacją wytycznych i zaleceń dla aplikacji bankowych, aby zapewnić bezpieczeństwo klientom na poziomie systemu bankowego, a także ich fizycznych urządzeń.
W trakcie konferencji usłyszeliśmy zapowiedzi nowych rozwiązań dla twórców aplikacji bankowych ze strony RBBIiM.
Potwierdzanie przelewów dzięki reCAPTCHY
Jedną z wytycznych Rady pozostało silniejsza integracja aplikacji mobilnych z usługami Google na telefonach ze systemem Android. Dzięki temu użytkownicy systemu Android mogą spać spokojnie i nie bać się o swoje ciężko zarobione pieniądze. Takie usługi jak Google SafetyNet dbają o to, aby użytkownicy mogli bezpiecznie korzystać ze swoich aplikacji. Rada rekomenduje twórcom aplikacji bankowych wprowadzanie nowego mechanizmu potwierdzającego zlecanie przelewów, który będzie oparty o dobrze znaną technologię Google reCAPTCHA:
Urządzenia z prawami administratora i bez usług Google
Jak pokazały ostatnie konfrontacje użytkowników z bankiem mBank, posiadanie konta administratora czy brak usług Google na kupionym urządzeniu jest źródłem wielu zagrożeń!
W jedną z takich konfrontacji byliśmy zaangażowani osobiście na Twitterze:
Oto lista konkretnych względów bezpieczeństwa, na jakie powołał się mBank w dyskusji z użytkownikami:
Listę tę opracowaliśmy na podstawie naszych pytań, komentarzy internautów i wnikliwych technicznych odpowiedzi ze strony banku na Twitterze. Dyskusja ta miała miejsce w wątku, w którym rozmawialiśmy z mBankiem o względach bezpieczeństwa, na które powołuje się mBank przy blokowaniu świadomym użytkownikom możliwość korzystania z biometrii na telefonach bez usług Google.
Sprawę tę poruszyliśmy podczas konferencji, która stała się jednym z tematów przewodnich panelu dyskusyjnego.
Rada pochwaliła starania instytucji bankowych, aby każdy klient banku korzystający z mobilnego systemu z prawami administratora lub takiego pozbawionego usług Google, nie mógł korzystać z usług bankowych — w trosce o jego bezpieczeństwo.
Desktopowe systemy operacyjne z prawami administratora również niebezpieczne
Podczas panelu dyskusyjnego konferencji, Rada zajęła swoje stanowisko w sprawie alarmów wszczętych w social mediach i wydała wytyczne sięgające także poza system Android. Tym samym Rada rekomenduje, aby pilnie ograniczyć dostęp użytkownikom korzystającym z internetowych aplikacji bankowych na systemach desktopowych, na których istnieje dostęp do konta administratora. W wywiadzie z nami rzecznik prasowy Rady Janina Szeląg tłumaczy:
W trosce o najlepszą jakość usług i bezpieczeństwo klientów aplikacji bankowych, każdy bank musi w trybie natychmiastowym wyłączyć wsparcie dla urządzeń posiadających prawa administratora, wliczając w to także desktopowe systemy operacyjne. Począwszy od najbardziej popularnego systemu – Windows. (...) Instytucje bankowe powinny pamiętać o użytkownikach innych systemów, takich jak: MacOS, czy Linux. Musimy traktować użytkowników wszystkich systemów operacyjnych jednakowo, tzn. każdy użytkownik winien być traktowany sprawiedliwie...— Janina Szeląg, rzecznik prasowy RBBIiM
Postanowiliśmy zweryfikować, czy użytkownicy Windowsa, którzy nie posiadają prawa administratora, mogą w tej chwili korzystać z bankowości internetowej. Udało nam się odszukać komputer z Windowsem XP, na którym nie ma dostępu do konta administratora i z euforią stwierdzamy, iż np. strona mBanku działa na nim bez przeszkód! ?
Przez brak uprawnień administratora, mogliśmy jedynie uruchomić Internet Explorer, parę preinstalowanych gierek i Winampa w wersji portable pochodzącego z renomowanej, przyjaznej komputerom bez konta administratora strony www.winpenpack.com.
Ten artykuł ma charakter satyryczny (wesołego Prima Aprilis!), niestety część artykułu opisana na temat aplikacji mobilnej mBank jest prawdziwa...
Teraz na poważnie
W naszej ocenie użytkownicy nie powinni być karani (w formie ograniczania usług) za instalowanie systemu innego niż to dostarczone przez producenta urządzenia – choćby o ile jest tak bezpieczne i zaufane, jak LineageOS czy GrapheneOS. Systemy te nie posiadają usług Google, czyniąc telefon wolnym od skryptów śledzących. Wiele mobilnych aplikacji bankowych sprawdza przy uruchamianiu, czy na urządzeniu są skrypty Google, czy nie. Przy wykryciu braku skryptów Google, zakładają, iż system urządzenia był modyfikowany i wyłączają niektóre użyteczne funkcje. Niestety obserwując „rozwój technologii”, obawiamy się, iż niedługo świadoma instalacja innego systemu operacyjnego, czy sam fakt posiadania uprawnień administratora na komputerze, będą powodowały podobne negatywne konsekwencje. Jest już tak w przypadku telefonów, więc czemu nie miałoby tak być dla innych urządzeń? Wiele razy przekonaliśmy się, iż nasze żarty okazywały się prawdą...
Przytoczone względy bezpieczeństwa do dnia dzisiejszego pozostają niewyjaśnione.